Si tratta di Heliconia, un nuovo spyware commerciale in grado di sfruttare le vulnerabilità di Chrome, Windows Defender e Firefox per colpire attivisti, avvocati e giornalisti. Il Threat Analysis Group (Tag) di Google è riuscito ad individuare tale software di spionaggio e ha intrapreso misure per bloccare uno di questi strumenti di attacco informatico.
L’exploitation framework Heliconia è arrivata all’attenzione di Google grazie a una serie di segnalazioni anonime al programma per notifica dei bug di Chrome. Tali segnalazioni indicavano la presenza di vulnerabilità anche in Windows Defender e Firefox che potevano essere sfruttate per distribuire spyware sui dispositivi, compresi i computer Windows e Linux. Inoltre, includevano il codice sorgente di Heliconia e definivano le vulnerabilità come Heliconia Noise, Heliconia Soft e Files.
Il framework è composto da tre componenti principali:
- Heliconia Noise (exploit per Chrome) sfrutta un bug nel motore JavaScript V8 di Chrome per eseguire codice remoto, aggirare la sandbox e installare lo spyware;
- Heliconia Soft (exploit per Defender) distribuisce invece un file PDF con un exploit che sfrutta un bug nel motore JavaScript di Microsoft Defender Malware Protection;
- Heliconia Files (exploit per Firefox) sfrutta un bug nel processore XSLT di Firefox per Windows e Linux.
Il Tag è riuscito a raccogliere prove concrete che indicano che il framework è sviluppato e venduto dall’azienda tecnologica spagnola Variston IT (sede a Barcellona). Per il momento i ricercatori del Tag non hanno contattato Variston It prima della pubblicazione del rapporto, come da prassi dell’azienda per questo tipo di indagini. D’altra parte, il direttore dell’azienda, Ralf Wegner, ha dichiarato a TechCrunch che Variston IT non ha avuto la possibilità di esaminare la ricerca di Google e che quindi non è in grado di corroborarla.
Nel 2021 e 2022 Google, Microsoft e Mozilla hanno già creato delle patch per le loro vulnerabilità. Queste sono state efficaci, infatti Google dichiara di non aver rilevato uno sfruttamento dei bug. Le prove riportate nelle segnalazioni arrivate alla società indicano, infatti, che il framework è stato probabilmente utilizzato per sfruttare le falle a partire dal 2018 – 2019.
Il fatto di non rilevare allo stato attuale prove dello sfruttamento di Heliconia può significare o che il framework è inattivo, o che lo strumento si è evoluto.
Tuttavia, ci sono ancora vulnerabilità sconosciute per le quali non sono disponibili patch. A tal proposito i ricercatori di Google hanno riferito a Wired US che “i risultati indicano che nel settore dello spyware operano molti attori di piccole dimensioni ma con forti capacità legate agli zero day”.
Per la sua ricerca, il Tag ha collaborato con Project Zero, l’unità di Google che si occupa di analisi delle vulnerabilità, e con il team di sicurezza di Chrome V8. Il loro obiettivo è far luce sui metodi, le capacità tecniche e gli abusi dell’industria degli spyware commerciali. Il gruppo ha creato dei sistemi di rilevamento per il servizio Google safe browsing per segnalare i siti e i file correlati a Heliconia.
I ricercatori ricordano, poi, l’importanza di aggiornare i propri software.
In un post sul blog del gruppo, il Tag ha scritto: “La crescita dell’industria degli spyware mette a rischio gli utenti e rende internet meno sicuro, e anche se le tecnologie di sorveglianza possono essere legali in base alle leggi nazionali o internazionali, spesso vengono utilizzate in modo dannoso per lo spionaggio digitale contro una serie di gruppi”.